Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung erzeugt dein Mailcow ein DKIM-Schlüsselpaar und du veröffentlichst den öffentlichen Teil als TXT-Record, sodass empfangende Server deine Signaturen verifizieren können.
Voraussetzungen
- Ein laufender Mailcow-Server mit Zugang zur Admin-UI
- Zugriff auf die DNS-Verwaltung deiner Domain(s)
Was ist DKIM?
DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur. Der private Schlüssel signiert auf dem Mailserver, der öffentliche steht im DNS und dient dem Empfänger zur Verifikation. Beim Selbsthosten hast du beide Seiten in der Hand — Mailcow erzeugt das Schlüsselpaar, du veröffentlichst den öffentlichen Teil.
Zur Einordnung: Während SPF den Server autorisiert, sichert DKIM die Nachricht. Die Mailcow-Doku empfiehlt DKIM ausdrücklich zusätzlich zu SPF und DMARC.
Die Ausgangslage bei Mailcow
Mailcow bringt die DKIM-Verwaltung direkt mit: Du erzeugst den Schlüssel in der mailcow-UI und trägst den daraus resultierenden TXT-Record in deinem DNS ein. Die Doku ist hier eindeutig: „create a DKIM TXT record in your mailcow UI and set the corresponding TXT record in your DNS records.”
Der Standard-Selector ist dkim, der DNS-Host also dkim._domainkey.
Schritt-für-Schritt-Anleitung
1. DKIM-Key in der mailcow-UI erzeugen
Melde dich in der mailcow-Admin-UI an und öffne Configuration → Options → ARC/DKIM keys (Menübezeichnung je nach Version). Wähle die Domain, einen Selector (Standard: dkim) und eine Schlüssellänge (2048 Bit empfohlen) und erzeuge den Schlüssel. Mailcow zeigt dir anschließend den öffentlichen Schlüssel als fertigen DNS-TXT-Wert an.
2. TXT-Record im DNS anlegen
Trage den von Mailcow angezeigten Wert bei deinem DNS-Anbieter ein:
dkim._domainkey IN TXT "v=DKIM1; k=rsa; t=s; s=email; p=..."
Der p=-Teil ist der lange öffentliche Schlüssel aus der mailcow-UI. Wo genau du den Record anlegst, hängt vom DNS-Anbieter ab — z. B. Hetzner DNS (Anführungszeichen nicht vergessen) oder Netcup.
3. Jede Domain einzeln
Wie beim SPF-Setup gilt: Jede in Mailcow verwaltete Domain braucht ihren eigenen DKIM-Key und TXT-Record. Erzeuge in der UI pro Domain einen Schlüssel und veröffentliche ihn getrennt.
4. Warten, bis die Änderung aktiv ist
DNS-Änderungen brauchen Zeit — je nach TTL und Caching einige Stunden, bis alle Server den Eintrag sehen.
Ergebnis prüfen
DKIM greift erst, wenn der DNS-Record und die Signierung in Mailcow zusammenpassen. Prüfe das mit dem kostenlosen MXAudit-Scanner — er zeigt DKIM, SPF und DMARC auf einen Blick.
Häufige Fehler
Schlüssel erzeugt, aber TXT nicht gesetzt (oder umgekehrt). Beide Hälften müssen zusammenpassen: der Key in der mailcow-UI und der dkim._domainkey-TXT im DNS. Fehlt einer, scheitert die Verifikation.
Schlüssel nach DNS-Eintrag neu erzeugt. Erzeugst du in der UI einen neuen Schlüssel, ändert sich der öffentliche Teil — der alte TXT-Record passt dann nicht mehr. Nach jeder Neuerzeugung den DNS-Record aktualisieren.
Selector-Mismatch. Der DNS-Host (dkim._domainkey) muss zum in Mailcow gewählten Selector passen. Weichst du vom Standard dkim ab, muss der DNS-Eintrag mitziehen.
Weitere Domains vergessen. Jede Domain braucht ihren eigenen DKIM-Key und -Record — eine vergessene Zweitdomain sendet unsigniert.
Weiterführende Links
- Mailcow-Doku: DNS setup (DKIM, SPF, DMARC) (abgerufen: 10. Juli 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
